Stellen Sie sich einen typischen Bäckereibetrieb mit 18 Mitarbeitern vor. Im Verkauf stehen vernetzte Kassen, in der Backstube laufen Öfen mit App-Steuerung, an der Hintertür hängt ein smartes Schließsystem, und für die Lohnbuchhaltung kommt eine Cloud-Software zum Einsatz. Alles ganz normal. Bis 2027.
Mit dem Cyber Resilience Act (CRA) zieht die EU eine neue Sicherheitsleitplanke für vernetzte Produkte ein. Auf den ersten Blick eine Hersteller-Geschichte. Auf den zweiten Blick betrifft sie jeden Betrieb, der irgendetwas Vernetztes kauft, betreibt oder weiterverkauft. In diesem Artikel klären wir, was der CRA ist, warum er auch für KMU ohne eigene IT-Abteilung relevant wird, welche Fristen entscheidend sind und worauf Sie bei der Beschaffung der nächsten 18 Monate achten sollten.
Was ist der Cyber Resilience Act – und warum betrifft er auch Sie?
Der Cyber Resilience Act ist die erste EU-Verordnung, die einheitliche Cybersicherheitsanforderungen für alle vernetzten Produkte festlegt. Egal ob Smartphone, Bürodrucker, Industrie-Steuerung oder Buchhaltungssoftware: Wenn das Gerät oder die Software auf den europäischen Markt kommt, muss es in Zukunft bestimmte Schutzmaßnahmen erfüllen. Laut Europäischer Kommission ist die Verordnung am 11. Dezember 2024 in Kraft getreten und gilt schrittweise bis Ende 2027.
Wichtig: Der CRA richtet sich primär an Hersteller, Importeure und Händler. Für die meisten KMU bedeutet das aber keineswegs Entwarnung. Denn die Anforderungen schlagen auf zwei Wegen durch – bei der Beschaffung neuer Geräte und beim Betrieb der vorhandenen.
Anders als bei der NIS-2-Richtlinie kennt der Cyber Resilience Act keine Größenausnahme. Auch ein Drei-Mann-Software-Anbieter aus Bayern oder ein Maschinenbauer mit zehn Mitarbeitern, der seine Steuerung mit Web-Oberfläche ausliefert, wird zum Hersteller im Sinne der Verordnung.
Drei Bereiche, in denen KMU den CRA spüren werden
Beschaffung wird strenger – und teurer
Ab Dezember 2027 dürfen vernetzte Produkte nur noch in Verkehr gebracht werden, wenn sie die CRA-Anforderungen erfüllen. Sichtbar wird das am CE-Zeichen, das künftig auch Cybersicherheit signalisiert. Für die Beschaffung heißt das: Bei jeder Anschaffung – ob Drucker, IoT-Sensor, Kassensystem oder Software – muss klar sein, dass der Hersteller die CRA-Pflichten erfüllt. Wer Pech hat, bekommt günstige Geräte aus Drittländern gar nicht mehr legal in Betrieb. Mehrere Studien gehen davon aus, dass die Preise vernetzter Produkte spürbar steigen werden, weil Security-by-Design Geld kostet.
Bestandsgeräte werden zur tickenden Uhr
Der vielleicht unangenehmste Punkt für KMU sind die vorhandenen Geräte. Laut BSI sind Hersteller verpflichtet, während des gesamten unterstützten Lebenszyklus eines Produkts Schwachstellen zu melden und Updates bereitzustellen. Sobald dieser Support endet – und das passiert oft nach drei bis fünf Jahren – ist das Gerät aus rechtlicher Sicht nicht mehr vertrauenswürdig. Wer es trotzdem einsetzt, trägt das Risiko allein. Für eine Druckerei mit 25 Mitarbeitern, die noch alte Druckserver, smarte Türschlösser oder vernetzte Backup-Geräte aus 2021 betreibt, wird genau das zum Thema.
Wer eigene Software oder Geräte ausliefert, wird zum Hersteller
Viele KMU sehen sich selbst nicht als Software-Hersteller. Aber der Begriff ist weit gefasst: Wer eine eigene App für Kunden betreibt, einen Onlineshop mit eigenen Plugins ausliefert oder Maschinen mit eingebetteter Software verkauft, ist Hersteller im CRA-Sinn. Damit gelten dann die vollen Pflichten: Risikoanalyse, Schwachstellenmanagement über den gesamten Lebenszyklus, Meldepflichten an das BSI, technische Dokumentation und CE-Konformitätserklärung. Bei Verstößen sind Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes möglich – je nachdem, was höher ist.
Der Zeitplan – was gilt wann?
Der CRA ist in mehreren Stufen angelegt. Drei Daten sollten KMU markieren:
- 11. September 2026: Erste Meldepflichten greifen. Hersteller müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle innerhalb enger Fristen an das BSI melden.
- 11. Dezember 2027: Vollständige Anwendung. Ab diesem Datum dürfen vernetzte Produkte nur noch in Verkehr gebracht werden, wenn sie alle CRA-Anforderungen erfüllen.
- Davor: Der gesamte Beschaffungs- und Update-Prozess muss bis Ende 2027 nachweislich funktionieren. Wer im Sommer 2027 noch hektisch nach Lieferanten sucht, hat schlechte Karten.
Für KMU heißt das: Die Zeit bis Mitte 2027 ist die Vorbereitungszeit. Drei Sofortmaßnahmen empfehlen wir bereits heute.
Was KMU jetzt schon tun sollten
- Inventur der vernetzten Geräte: Welche Geräte und welche Software stehen im Betrieb? Welche davon erhalten noch Updates – und wie lange?
- Lieferanten-Check: Wer beliefert Sie mit IT, Maschinen oder Software? Sind die Hersteller auf den CRA vorbereitet? Diese Frage lässt sich heute schon stellen, am besten schriftlich.
- Update- und Patch-Strategie: Wie werden Updates eingespielt – manuell, automatisch, gar nicht? Genau hier setzen Managed Services an, weil das Schwachstellenmanagement ab 2026 mehr Disziplin verlangt als vorher.
- Eigene digitale Produkte prüfen: Falls Sie eine eigene App, einen konfigurierbaren Onlineshop oder Maschinen mit Software ausliefern, klären Sie früh, ob Ihr Unternehmen als CRA-Hersteller gilt. Im Zweifel hilft eine IT-Sicherheits-Erstberatung bei der Einordnung.
Eine ehrliche Einschätzung: Nicht jeder Punkt wird sofort kritisch. Aber ein Bäckereibetrieb mit smarter Backofen-Steuerung, ein Maschinenbauer mit App-Bedienung oder eine Steuerberatung mit Cloud-Buchhaltung sollte den CRA bis 2027 ernst nehmen, statt sich auf Übergangsfristen zu verlassen, die nicht kommen werden.
Fazit
Der Cyber Resilience Act ist keine Compliance-Übung für IT-Konzerne. Er verändert ab 2027 leise, aber spürbar, wie KMU Geräte beschaffen, betreiben und ersetzen. Die meisten Betriebe werden den CRA nicht als Hersteller erleben, sondern als Anwender: durch teurere Hardware, kürzere Lebenszyklen und neue Anforderungen an die eigene Update-Disziplin. Wer eigene digitale Produkte ausliefert, sollte ohnehin frühzeitig prüfen, ob er in die Hersteller-Kategorie fällt.
Was es jetzt braucht, ist keine Panik, sondern ein nüchterner Plan: Inventur, Lieferanten-Check, Update-Strategie. Genau dabei unterstützen wir Sie. Wenn Sie wissen wollen, wie Ihre IT-Beschaffung und Ihr Patch-Management 2026/27 aussehen sollten, sprechen Sie uns an. Wir analysieren Ihre Situation in einem Erstgespräch und zeigen Ihnen, wo Sie heute schon Risiken senken können – kostenfrei und ohne Fachchinesisch.
